Cara kerja EBS enkripsi Amazon - Amazon EBS
Cara kerja EBS enkripsi saat snapshot dienkripsiCara kerja EBS enkripsi saat snapshot tidak dienkripsiBagaimana kunci yang tidak dapat digunakan memengaruhi KMS kunci data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja EBS enkripsi Amazon

Anda dapat mengenkripsi volume boot dan data dari sebuah EC2 instance.

Saat Anda membuat EBS volume terenkripsi dan melampirkannya ke jenis instans yang didukung, jenis data berikut akan dienkripsi:

  • Data diam di dalam volume

  • Semua data yang bergerak antara volume dan instans

  • Semua snapshot yang dibuat dari volume

  • Semua volume yang dibuat dari snapshot tersebut

Amazon EBS mengenkripsi volume Anda dengan kunci data menggunakan enkripsi data -256 standar industriAES. Kunci data dihasilkan oleh AWS KMS dan kemudian dienkripsi AWS KMS dengan AWS KMS kunci sebelum disimpan dengan informasi volume Anda. Amazon EBS secara otomatis membuat unik Kunci yang dikelola AWS di setiap Wilayah tempat Anda membuat EBS sumber daya Amazon. Alias untuk KMS kuncinya adalahaws/ebs. Secara default, Amazon EBS menggunakan KMS kunci ini untuk enkripsi. Atau, Anda dapat menggunakan kunci enkripsi terkelola pelanggan simetris yang Anda buat. Menggunakan KMS kunci Anda sendiri memberi Anda lebih banyak fleksibilitas, termasuk kemampuan untuk membuat, memutar, dan menonaktifkan KMS kunci.

Amazon EC2 bekerja dengan AWS KMS untuk mengenkripsi dan mendekripsi EBS volume Anda dengan cara yang sedikit berbeda tergantung pada apakah snapshot dari mana Anda membuat volume terenkripsi dienkripsi atau tidak dienkripsi.

Cara kerja EBS enkripsi saat snapshot dienkripsi

Saat Anda membuat volume terenkripsi dari snapshot terenkripsi yang Anda miliki, Amazon EC2 bekerja sama AWS KMS untuk mengenkripsi dan mendekripsi volume Anda sebagai berikut: EBS

  1. Amazon EC2 mengirimkan GenerateDataKeyWithoutPlaintextpermintaan ke AWS KMS, menentukan KMS kunci yang Anda pilih untuk enkripsi volume.

  2. Jika volume dienkripsi menggunakan KMS kunci yang sama dengan snapshot, AWS KMS gunakan kunci data yang sama dengan snapshot dan mengenkripsinya di bawah kunci yang sama. KMS Jika volume dienkripsi menggunakan kunci yang berbeda, KMS AWS KMS buat kunci data baru dan enkripsi di bawah kunci yang Anda tentukanKMS. Kunci data terenkripsi dikirim ke Amazon EBS untuk disimpan dengan metadata volume.

  3. Saat Anda melampirkan volume terenkripsi ke instance, Amazon EC2 mengirimkan CreateGrantpermintaan AWS KMS agar dapat mendekripsi kunci data.

  4. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon. EC2

  5. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi disk I/O ke volume. Kunci data teks biasa tetap ada di memori selama volumenya dilampirkan pada instans.

Cara kerja EBS enkripsi saat snapshot tidak dienkripsi

Saat Anda membuat volume terenkripsi dari snapshot yang tidak terenkripsi, EC2 Amazon bekerja AWS KMS sama untuk mengenkripsi dan mendekripsi volume Anda sebagai berikut: EBS

  1. Amazon EC2 mengirimkan CreateGrantpermintaan ke AWS KMS, sehingga dapat mengenkripsi volume yang dibuat dari snapshot.

  2. Amazon EC2 mengirimkan GenerateDataKeyWithoutPlaintextpermintaan ke AWS KMS, menentukan KMS kunci yang Anda pilih untuk enkripsi volume.

  3. AWS KMS menghasilkan kunci data baru, mengenkripsinya di bawah KMS kunci yang Anda pilih untuk enkripsi volume, dan mengirimkan kunci data terenkripsi ke Amazon EBS untuk disimpan dengan metadata volume.

  4. Amazon EC2 mengirimkan permintaan Dekripsi AWS KMS untuk mendekripsi kunci data terenkripsi, yang kemudian digunakan untuk mengenkripsi data volume.

  5. Saat Anda melampirkan volume terenkripsi ke instance, Amazon EC2 mengirimkan CreateGrantpermintaan ke AWS KMS, sehingga dapat mendekripsi kunci data.

  6. Saat Anda melampirkan volume terenkripsi ke instance, Amazon EC2 mengirimkan permintaan Dekripsi ke AWS KMS, yang menentukan kunci data terenkripsi.

  7. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon. EC2

  8. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi disk I/O ke volume. Kunci data teks biasa tetap ada di memori selama volumenya dilampirkan pada instans.

Untuk informasi selengkapnya, lihat Cara Amazon Elastic Block Store (AmazonEBS) menggunakan AWS KMS dan Amazon EC2 contoh dua di Panduan AWS Key Management Service Pengembang.

Bagaimana kunci yang tidak dapat digunakan memengaruhi KMS kunci data

Ketika KMS kunci menjadi tidak dapat digunakan, efeknya hampir seketika (tergantung pada konsistensi akhirnya). Status kunci dari perubahan KMS kunci untuk mencerminkan kondisi barunya, dan semua permintaan untuk menggunakan KMS kunci dalam operasi kriptografi gagal.

Saat Anda melakukan tindakan yang membuat KMS kunci tidak dapat digunakan, tidak ada efek langsung pada EC2 instance atau EBS volume yang dilampirkan. Amazon EC2 menggunakan kunci data, bukan KMS kunci, untuk mengenkripsi semua disk I/O saat volume dilampirkan ke instance.

Namun, ketika EBS volume terenkripsi terlepas dari instanceEC2, Amazon EBS menghapus kunci data dari perangkat keras Nitro. Lain kali EBS volume terenkripsi dilampirkan ke EC2 instance, lampiran gagal, karena Amazon EBS tidak dapat menggunakan KMS kunci untuk mendekripsi kunci data terenkripsi volume. Untuk menggunakan EBS volume lagi, Anda harus membuat KMS kunci dapat digunakan lagi.

Tip

Jika Anda tidak lagi ingin akses ke data yang disimpan dalam EBS volume yang dienkripsi dengan kunci data yang dihasilkan dari KMS kunci yang ingin Anda buat tidak dapat digunakan, kami sarankan Anda melepaskan EBS volume dari EC2 instance sebelum Anda membuat kunci tidak dapat digunakan. KMS

Untuk informasi selengkapnya, lihat Bagaimana KMS kunci yang tidak dapat digunakan memengaruhi kunci data di Panduan AWS Key Management Service Pengembang.